Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Le Figaro condamné pour dépôt de cookies non sollicités

Un symptôme du grand n'importe quoi où personne ne maîtrise plus rien

« De mon temps, mon bon monsieur »... Dans ce temps-là, chacun fabriquait son bout d'Internet et cela formait un tout utile à tous. On en est loin. Tout le monde fait reposer son bout d'Internet sur d'autres. Parfois, ça pique...

Supervision Akamai - D.R.

C'est passé un peu inaperçu mais Lefigaro.fr a été condamné par la CNIL à 50.000 euros d'amende dans une affaire qui l'opposait à une lectrice. Celle-ci se plaignait du dépôt de cookies avant même qu'elle ait pu exprimer son consentement. Pas de notre faute a répondu le journal, ces cookies sont déposés par des « partenaires ». Cela n'a pas convaincu la CNIL. Cette affaire est la microscopique pointe d'un iceberg auquel la CNIL ne s'attaque évidemment pas.

L'évolution du Web ces dernières années a profondément modifié l'usage que nous en faisons mais aussi la manière dont sont construits les serveurs qui nous livrent les informations que nous réclamons.

D'une part ces sites monétisent nos visites de manière éhontée, d'autre part, ils fonctionnent en se reposant sur des services externes, non contrôlés. Ainsi, lorsque l'un ce ces services tombe en panne comme cela est encore arrivé deux fois ces dernières semaines, des milliers de sites sont affectés et la presse parle d'une « panne d'Internet » alors qu'en fait, il s'agit d'un panne d'un prestataire de services.

Revenons au Figaro et à ses cookies. En se faisant passer pour un iPhone X, nous allons rechercher les données qui fuitent vers des sites tiers. C'est à dire la monétisation de nos données par Le Figaro. Évidemment, Le Figaro est ici un exemple. Cela vaut pour quasiment tous les sites que vous visitez (mais pas pour Reflets.info qui ne monétise pas vos données).

Nos informations personnelles sont « vendues », parfois contre espèces sonnantes et trébuchantes, parfois c'est simplement un « échange de bons procédés », parfois plus personne ne sait pourquoi ces données fuitent. Parfois c'est simplement pour remplir la page avec du contenu externe. Mais en faisant cela, le propriétaire du contenu externe apprend des choses sur nous.

Requêtes vers des sites tiers depuis la page d'accueil du Figaro
Requêtes vers des sites tiers depuis la page d'accueil du Figaro

Nous voici donc connectés sur la Une du site. En quelques instants et sans véritablement que l'on puisse s'en apercevoir, la page d'accueil du journal va envoyer des requêtes à des sites externes :

Googletagmanager, ausha.com, Amazon-Adsystem, Brightcove, GoogleFonts, GoogleApis, Estats, Gstatic, 2mdn, GoogleSyndication, BoltDns, Taboolan Akamai, PerfectMarket, Hubvisor, Smartadserver, RubiconProject, Adnxs-Simple, 3lift, StickyAdstv, Spotxchange, Pubmatic, Criteo, Casalmedia.

Si votre navigateur est connecté à l'une de ces plateformes (Amazon, Google) dans un autre onglet, une corrélation sera faite avec votre compte. M. Machin, qui est connecté à son Gmail vient de lire tel article du Figaro qui comporte les mots clefs truc et bidule. Bien sûr, ce n'est pas très grave que Google sache quel genre d'article vous lisez. Mais si vous lisez le Figaro, Google a probablement choisi de vous attribuer une étiquette politique. A tort ou à raison, c'est un autre sujet, celui des identités calculées (par les machines). Évidement, cela vaut pour toutes les pages que vous consultez.

Par exemple, en affichant une page du site Youporn, vous indiquez à Google vos préférences sexuelles puisque c'est Google qui s'occupe des statistiques de visites de ce site. Google saura ainsi si vous êtes zoophile tendance teckels morts.

Sur Youporn, Google s'occupe de statistiques et sait ce que vous y faites
Sur Youporn, Google s'occupe de statistiques et sait ce que vous y faites

A ce stade, vous avez au moins compris que Google en sait plus sur vous que vos proches. Bien entendu, il peut se tromper dans les interprétations qu'il fait de ces informations. C'est un souci aussi. Parce que le jour où Google vous classera comme extrémiste politique ou religieux et partagera ces informations erronées avec des services de renseignement, cela posera un problème. Surtout si ce classement est erroné. N'oubliez pas que dans « intelligence artificielle », il y a surtout « artificiel ». Les machines sont idiotes, et leur laisser la main finit toujours mal.

Le fait d'appeler autant de contenu depuis l'extérieur peut aussi apporter son lot de #Lulz. Il y a quelques jours, les sites de gros titres de presse outre-Atlantique en ont fait la désagréable expérience. Une boite diffusant du contenu porno avait racheté un nom de domaine d'une startup ayant fait faillite et l'a utilisé pour insérer du porno dans les pages de plusieurs journaux. Ils avaient toujours le code appelant du contenu de ce nom de domaine dans leurs pages alors que la startup avait disparu depuis 2017.

L'insertion de contenus externes discutables est un problème auquel la presse dans son quasi ensemble fait face depuis longtemps maintenant. Tout le monde a repéré les sections « Ailleurs sur le Web », « Ce contenu pourrait vous intéresser » en dessous des articles de journaux en ligne. Même les plus respectables... Le Monde par exemple a mis en place une liste noire de contenus que le journal ne veut pas voir dans ses pages. Les fournisseurs de ces contenus, comme Taboola ou Outbrain, poussent des publicités à peine déguisées, des articles clickbait de type « les dix opérations de chirurgie esthétique qui ont le plus mal tourné ». En fait il s'agit d'une énorme pyramide visant à aspirer et rediriger des visiteurs vers des sites qui eux-mêmes se financent en affichant de la publicité à des visiteurs qui n'en demandaient pas tant. Mais ce sont des contrats à l'année, bien moins volatils que les contrats de publicité en ligne, et tous les patrons de presse raffolent de cela.

Paye ton CDN

Pour pouvoir servir des milliers de lecteurs un peu partout avec une qualité de service parfaite, c'est-à-dire sans que cela rame, les sites Web utilisent les services de prestataires comme Akamai. Ce sont les content delivery network (CDN) ou en français, les réseaux de diffusion de contenu. Les CDN sont pratiques, efficaces et permettent d'éviter de trop se compliquer la vie sur un plan technique ou de déployer une énorme infrastructure. Les gros sites -et même des petits - ont tendance à s'appuyer dessus. Mais lorsque ces CDN ont un problème, c'est la moitié du Web qui a un problème.

Se reposer sur des prestataires de ce type, c'est aussi être dépendant des technologies employées par les prestataires, perdre en savoir-faire. C'est également faire un pari : celui de penser que le prestataire est vertueux et que les données des visiteurs ne seront ni conservées, ni partagées sous quelque forme que ce soit.

On n'est pas bien là, tous ensemble sur Reflets.info qui maîtrise toutes les technologies avec lesquelles sont fabriquées ce site, qui ne fait appel à aucun site externe, ne collecte ni ne monétise aucune de vos données ?

6 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée